Kyberturvallisuustutkijat ovat paljastaneet huolestuttavia uusia versioita pahamaineisesta WormGPT-haittaohjelma-AI:sta, jotka hyödyntävät nyt kaupallisia suuria kielimalleja (LLM) xAI:lta ja Mistral AI:lta kehittyneissä kyberhyökkäyksissä.
Cato Networksin uhkatiedustelutiimi tunnisti kaksi aiemmin raportoimatonta WormGPT-varianttia, joita myydään maanalaisilla foorumeilla kuten BreachForumsissa. Variantit, joiden kehittäjinä tunnetaan käyttäjät "xzin0vich" ja "keanu", ilmestyivät lokakuussa 2024 ja helmikuussa 2025. Toisin kuin alkuperäinen vuoden 2023 WormGPT, joka perustui avoimen lähdekoodin GPT-J-malliin, nämä uudet versiot edustavat perustavanlaatuista muutosta lähestymistavassa.
Sen sijaan, että rikolliset rakentaisivat omia tekoälymallejaan alusta alkaen, he ovat luoneet kehittyneitä "wrappereita" olemassa olevien kaupallisten AI-järjestelmien ympärille. Jailbreaking-tekniikoiden ja manipuloitujen järjestelmäkehotteiden avulla he ovat onnistuneet ohittamaan Elon Muskin Grokin ja Mistralin Mixtralin turvarajoitukset, pakottaen ne tuottamaan haitallista sisältöä ilman eettisiä estoja.
"Nämä uudet WormGPT-versiot eivät ole alusta asti rakennettuja malleja, vaan uhkatoimijoiden taidokkaasti mukauttamia olemassa olevia LLM:iä", selittää Cato Networksin tutkija Vitaly Simonovich. Tämä lähestymistapa madaltaa merkittävästi rikollisten kynnystä, sillä olemassa olevan API:n hyödyntäminen on huomattavasti yksinkertaisempaa kuin haitallisen LLM:n kouluttaminen alusta asti.
Molemmat variantit kykenevät tuottamaan haitallista sisältöä pyydettäessä, kuten vakuuttavia tietojenkalasteluviestejä ja PowerShell-skriptejä, joiden tarkoituksena on varastaa tunnistetietoja Windows 11 -järjestelmistä. Niitä myydään Telegram-bottien kautta tilauspohjaisesti, hintojen vaihdellessa 8 ja 100 dollarin välillä kuukaudessa.
WormGPT:n kehitys kuvastaa laajempaa trendiä kyberrikollisuudessa, jossa uhkatoimijat hyödyntävät yhä useammin laillisia tekoälypalveluita haitallisiin tarkoituksiin kehittyneen kehotteiden suunnittelun avulla. Turvallisuusasiantuntijat suosittelevat kattavia puolustusstrategioita, kuten parannettuja uhkien tunnistusjärjestelmiä käyttäytymisanalytiikalla, vahvempia pääsynhallintaratkaisuja sekä parempaa tietoturvakoulutusta, johon sisältyy tekoälyn generoimien tietojenkalastelusimulaatioiden hyödyntäminen.
Koska tekoäly toimii sekä hyökkäyksen välineenä että kohteena, organisaatioiden on varauduttava uuteen todellisuuteen, jossa suurimmat tekoälyuhat voivat tulla suoraan suosituimmilta alustoilta.